Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

11. März 2010
Update am 15. März 2010

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer 6 und 7

Remote Code Execution - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Seit kurzem gibt es eine Remote-exploitable Sicherheitslücke in Internet Explorer 6 und 7. Da nun aber seit kurzem Sample Code öffentlich für das Metasploit Framework verfügbar ist, und die Sicherheitslücke auch schon aktiv ausgenutzt wird, empfiehlt CERT.at, die folgende Sicherheitsmeldung zu beachten und entsprechend die eigenen Systeme zu überprüfen und zu reagieren. Ein Patch seitens Microsoft steht noch nicht zur Verfügung.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Es ist zu erwarten, dass diese einfach auszunützende Schwachstelle schon bald in goßem Stil ausgenützt wird.

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer Version 6 oder 7 installiert ist und benutzt wird.
Der Metasploit Sample Code funktioniert derzeit auf:
  • Microsoft Internet Explorer 7 unter Windows Vista SP2
  • Internet Explorer 7 unter Windows XP SP3
  • Internet Explorer 6 unter Windows XP SP3

Abhilfe

Update (15.3.2010):
Microsoft hat mittlerweile ein Fix-It Tool herausgegeben, mit dem die unten beschriebenen Schritte durchgeführt werden können.

Umgehen kann man das Problem weiters (bzw. werden die Auswirkungen einer Attacke abgeschwächt), indem man:

  • Data Execution Prevention (DEP) aktiviert: siehe die Empfehlung von Microsoft
  • die Zugriffsrechte auf die Datei iepeers.dll restrikiver setzt: Details siehe Empfehlung von Microsoft
  • ActiveScripting (JavaScript) im Internet Explorer abdreht (dies kann aber Auswirkungen auf die Verfügbarkeit von Webseiten haben)
Microsoft empfiehlt, die Sicherheitseinstellungen in Internet Explorer auf "Hoch" zu setzen, damit vor dem Ausführen von ActiveX und Active Scripting (JavaScript) beim Benutzer nachgefragt wird, Details siehe Microsoft-Meldung.

Microsoft hat noch nicht bekanntgegeben, ob es für diesen Fehler einen "out-of-band"-Patch geben wird, oder ob dieser erst mit dem nächsten regulären sog. "Patch Tuesday" behoben werden wird.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung von Microsoft
http://www.microsoft.com/technet/security/advisory/981374.mspx
Meldung von Heise Security
http://www.heise.de/security/meldung/Exploit-fuer-neue-IE-Luecke-952065.html